Если вы храните криптовалюту в мобильном кошельке на Android, у вас есть примерно 45 секунд до полной компрометации. Именно столько требуется для извлечения seed-фразы из выключенного телефона с помощью обычного USB-кабеля.
В марте 2026 года команда безопасности Ledger Donjon раскрыла уязвимость CVE-2026-20435, затрагивающую 25% всех Android-устройств с процессорами MediaTek, которая позволяет обходить шифрование и забирать приватные ключи даже с полностью выключенного аппарата.
Это не теоретическая угроза. Исследователи продемонстрировали извлечение PIN-кода и seed-фраз из Trust Wallet, MetaMask, Phantom, Rabby и Tangem за менее чем минуту, используя Nothing CMF Phone 1. Уязвимость кроется в цепочке безопасной загрузки (secure boot chain) Trustonic TEE, которая присутствует в смартфонах Samsung, Xiaomi, OPPO, Vivo, Motorola и других брендов.
Но аппаратные бэкдоры — лишь вершина айсберга. В 2025 году мобильные кошельки подверглись масштабной эпидемии вредоносного ПО: только через фейковое приложение BOM было взломано более 13 000 кошельков и украдено $1,82 млн, а Google Play Store распространял вредоносы, замаскированные под SushiSwap и PancakeSwap. Добро пожаловать в эпоху, когда ваш смартфон — это не сейф, а прозрачный рюкзак.
содержимое
- 1 Аппаратные бэкдоры: когда процессор предаёт вас
- 2 Малварь и трояны: армия цифровых пиратов
- 3 Фейковые приложения: волк в овечьей шкуре Google Play
- 4 Clipboard Hijacking: невидимый обменщик адресов
- 5 Как проверить, не скомпрометирован ли ваш кошелёк
- 6 Альтернативы: как выжить в постапокалиптическом мире Android
- 7 Заключение: мобильный кошелёк = хот-вALLET для хакеров
Аппаратные бэкдоры: когда процессор предаёт вас
CVE-2026-20435: дырявая архитектура Trustonic
Критическая уязвимость в процессорах MediaTek, использующих Trusted Execution Environment (TEE) от Trustonic, позволяет атакующему через USB-порт извлечь root-криптографические ключи до загрузки Android. Получив эти ключи, злоумышленник может оффлайн-дешифровать хранилище устройства и брутфорсом подобрать PIN, получив доступ ко всем приложениям.
Что это значит для криптоинвесторов:
- Выключенный телефон не защищает ваши ключи — достаточно физического доступа на 45 секунд
- Seed-фразы извлекаются из памяти устройства напрямую, минуя операционную систему
- Уязвимы все кошельки, хранящие ключи в Android Keystore
Компания MediaTek выпустила патчи 5 января 2026 года, но миллионы устройств никогда не получат обновления, особенно бюджетные модели. Если ваш телефон работает на чипе MediaTek и не обновлялся после марта 2026 года, считайте, что ваши приватные ключи уже скомпрометированы.
Почему смартфоны никогда не были сейфами
Как заявил CTO Ledger Шарль Гийеме: «Смартфоны никогда не проектировались как хранилища. Универсальные чипы созданы для удобства, Secure Element — для защиты ключей. Если ваша криптовалюта хранится на телефоне, её безопасность определяется самым слабым звеном в цепочке железа, прошивки или софта».
Малварь и трояны: армия цифровых пиратов
SeedSnatcher: кража через фейковый интерфейс
Малварь SeedSnatcher (распространяется под видом приложения «Coin» через Telegram) демонстрирует изощрённость современных атак. При запуске кошелька (Trust Wallet, MetaMask, TokenPocket и др.) троян накладывает идентичный легитимному фейковый интерфейс импорта, перехватывая введённые seed-фразы.
Возможности SeedSnatcher:
- Перехват SMS и 2FA-кодов для атак account takeover
- Создание фишинговых оверлеев поверх банковских приложений
- Эксфильтрация файлов и фотографий с устройства
- Динамическая загрузка полезной нагрузки через WebSocket
Crocodilus: обход защит Android 13+
Новейший троян Crocodilus, обнаруженный в 2025 году, использует кастомный дроппер для обхода ограничений Android 13 и Google Play Protect. Распространяется через фейковые промоакции в соцсетях, маскируясь под легитимные приложения.
Особенность Crocodilus — агрессивная социальная инженерия: приложение генерирует фейковые предупреждения о необходимости срочного бэкапа seed-фразы, заставляя пользователя ввести её в поддельное окно. После кражи ключей малварь получает полный удалённый доступ к устройству.
SparkKitty и охота на скриншоты
Троян SparkKitty, активный в Китае и Юго-Восточной Азии, атакует самое слабое звено — человеческую лень. Пользователи часто делают скриншоты seed-фраз для «быстрого доступа». SparkKitty получает доступ к галерее фотографий и выгружает их на удалённые серверы, где автоматически анализируются на наличие сид-фраз.
По данным TRM Labs, 70% украденной в 2024 году криптовалюты ($2,2 млрд) было похищено именно через компрометацию seed phrases и private keys.
Фейковые приложения: волк в овечьей шкуре Google Play
Взломанные аккаунты разработчиков
В 2025 году специалисты Cyble обнаружили в Google Play Store более 20 вредоносных приложений, имитирующих популярные кошельки: Hyperliquid, PancakeSwap, Raydium, SushiSwap. Особенность кампании — использование взломанных аккаунтов легитимных разработчиков с историей публикации чистых приложений (игры, видеоплееры) и сотнями тысяч загрузок.
Схема работы:
- Злоумышленники взламывают старые аккаунты разработчиков с хорошей репутацией
- Публикуют обновления с вредоносным кодом, использующим фреймворк Median
- Приложения запрашивают 12-словную mnemonic phrase под видом «восстановления доступа»
- Данные отправляются на C2-серверы, связанные с сетью из 50+ фишинговых доменов
Google удалил часть приложений после уведомления, но многие остались доступны месяцами, накапливая десятки тысяч установок.
BOM: $1,82 млн через доступ к фото
Приложение BOM, распространявшееся через официальные магазины, заразило более 13 000 устройств Android и iOS. Запрашивая безобидное на iOS разрешение на доступ к фото «для работы», оно сканировало галерею на предмет скриншотов с seed-фразами и приватными ключами.
Заражённые устройства теряли USDT, ETH, WBTC и DOGE. Атакующие использовали децентрализованные биржи (PancakeSwap, OKX DEX) для отмывания средств, а при обнаружении расследования отключали серверы управления, стирая следы.
Clipboard Hijacking: невидимый обменщик адресов
Clipper-атаки на автопилоте
Clipper — классический, но эффективный метод кражи. Малварь мониторит буфер обмена устройства и при обнаружении криптовалютного адреса (Bitcoin, Ethereum) мгновенно заменяет его на адрес злоумышленника.
Пользователь копирует адрес получателя «0x742d35Cc6634C0532925a3b844Bc9e7595f8dEe», вставляет его в поле отправки, но фактически средства уходят на «0x742d35Cc6634C0532925a3b844Bc9e7595f8dEf» — разница в последнем символе незаметна при беглом взгляде.
По данным Binance, majority атак Clipper нацелены именно на мобильных пользователей: на смартфоне неудобно вводить длинные адреса вручную, поэтому люди предпочитают копировать-вставлять, попадая в ловушку.
Как проверить, не скомпрометирован ли ваш кошелёк
Чек-лист немедленной проверки
- Проверка процессора
- Перейдите в Настройки → О телефоне → Процессор
-
Если указан MediaTek и обновление безопасности старше марта 2026 — немедленно переведите средства на аппаратный кошелёк
-
- Аудит установленных приложений
- Проверьте кошельки на подлинность: разработчик должен быть верифицирован (значок «Разработчик известен» в Google Play)
- Сверьте package name с официальным сайтом (например,
com.wallet.crypto.trustappдля Trust Wallet) -
Удалите кошельки, скачанные не из официальных магазинов
-
- Анализ разрешений
- Кошелёк не должен иметь доступа к SMS, звонкам, галерее или управлению другими приложениями
-
Если Trust Wallet запрашивает «Accessibility Services» — это 100% малварь
-
- Проверка clipboard
- Установите приложения для мониторинга буфера обмена (Clipper Monitor)
- Перед отправкой всегда сверяйте первые и последние 6 символов адреса
-
Признаки заражения
- Неожиданные уведомления о «необходимости бэкапа» или «истекающей сессии»
- Повышенное потребление батареи фоновыми процессами
- Невозможность обновить кошелёк через Google Play (приложение установлено не из магазина)
- Странные транзакции в истории, которые вы не совершали
Альтернативы: как выжить в постапокалиптическом мире Android
Аппаратные кошельки: единственная защита
После скандала с CVE-2026-20435 и обилием малвари единственным надёжным решением остаются аппаратные кошельки (Ledger, Trezor, GridPlus). Они используют Secure Element — специализированные чипы, физически изолированные от основной системы, с защитой от side-channel атак и физического вскрытия .
Важно: покупайте только с официальных сайтов (см. наш гайд по выявлению поддельных Ledger и Trezor), так как фейковые аппаратные кошельки с предустановленными seed-фразами — следующий уровень угрозы.
Air-gapped решения
Для параноиков и держателей крупных сумм:
- Air-gapped компьютеры — старые ноутбуки без Wi-Fi/BT, используемые только для подписи транзакций
- Steel plates — физическое хранение seed-фраз на металлических пластинах, устойчивых к огню и воде
- Multisig — схемы пороговой подписи, требующие нескольких ключей для траты средств, исключающие single point of failure
Заключение: мобильный кошелёк = хот-вALLET для хакеров
В 2026 году хранить криптовалюту в мобильном кошельке Android — всё равно что носить наличные в прозрачном рюкзаке через тёмный переулок. Аппаратные бэкдоры (CVE-2026-20435), фейковые приложения в Google Play, трояны-шпионы (SeedSnatcher, Crocodilus) и clipboard-хижники создали экосистему, где компрометация — вопрос времени.
Золотые правила выживания:
- Никаких seed-фраз на телефоне — ни в виде текста, ни в виде скриншота, ни в памяти приложения
- Проверяйте процессор — MediaTek без патча марта 2026 = немедленный перевод средств
- Аппаратный кошелёк — единственный приемлемый уровень безопасности для сумм свыше $1000
- Проверяйте адреса — всегда сверяйте первые и последние символы перед отправкой
- Не доверяйте Google Play — даже официальный магазин не гарантирует отсутствия вредоносов
Если вы считаете, что «вам нечего скрывать» или «хакеры не интересуются малыми суммами» — вспомните статистику: 23,35% всех краж криптовалюты в 2025 году пришлось на компрометацию именно персональных кошельков . И эта цифра растёт.
Ваш смартфон уже скомпрометирован — вопрос только в том, успеете ли вы перевести активы в безопасное место раньше, чем это сделает злоумышленник.
